鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

McAfee Database Security 6月多个清静误差

宣布时间 2021-06-07

0x00 误差概述

McAfee 数据库清静产品能够实时�；；；ひτ档氖菘�，，，，，阻止其遭受外部、内部和数据库内部的种种攻击。。。。

2021年06月01日，，，，，McAfee宣布清静通告，，，，，修复了Database Security中的5个清静误差，，，，，攻击者可以通过使用这些误差未授权会见、获取敏感信息或控制效劳器。。。。

0x01 误差详情

本次修复的5个误差中，，，，，CVE-2021-23894和CVE-2021-23895是McAfee Database Security （DBSec）中的反序列化误差，，，，，未经认证的远程攻击者可以通过发送恶意构建的Java序列化工具到DBSec效劳器来触发此误差，，，，，并通过在DBSec效劳器上建设具有治理员权限的反向shell来控制效劳器。。。。

CVE-2021-31830是DBSec中的XSS误差，，，，，拥有治理权限的攻击者可以通过在设置要监控的数据库名称时嵌入JavaScript代码，，，，，当任何授权用户登录到DBSec界面并翻开该数据库的属性设置页面时，，，，，将触发恶意代码，，，，，但使用此误差需要用户交互。。。。

CVE-2021-31831是DBSec中已删除剧本的不准确会见误差，，，，，这些剧本被保存下来，，，，，以便在未来需要剖析往事务时使用。。。。但经由认证的远程攻击者可以通过REST API获得对治理控制台中已标记为删除或逾期的署名SQL剧本的会见，，，，，但使用此误差需要用户交互。。。。

CVE-2021-23896是DBSec治理员界面中的敏感信息明文传输误差，，，，，拥有治理权限的攻击者可以使用此误差审查McAfee Insights Server的未加密密码，，，，，但使用此误差需要用户交互。。。。

CVE-ID	类型	CVSSv3评分	影响规模
CVE-2021-23894	反序列化	9.6	< 4.8.2
CVE-2021-23895	反序列化	9.0
CVE-2021-23896	信息泄露	3.2
CVE-2021-31830	XSS	5.9
CVE-2021-31831	会见控制过失	4.9

0x02 处置惩罚建议

现在McAfee已经在DBSec 4.8.2中修复了这些误差，，，，，建议实时升级更新：

下载毗连：

https://www.mcafee.com/enterprise/en-us/downloads.html

0x03 参考链接

https://kc.mcafee.com/corporate/index?page=content&id=SB10359#Remediation

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23894

https://nvd.nist.gov/vuln/detail/CVE-2021-23894

0x04 时间线

2021-06-01 McAfee宣布清静通告

2021-06-02 McAfee更新清静通告

2021-06-07 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】